火绒安全解决方案
发布时间:2021-05-27 14:51:58
—发布时间—
2021-05-27 14:51:58
终端成为安全威胁的主要来源,是火绒安全软件的主要服务对象,所以要保护终端用户的系统安全,我们需要分析企业终端用户真正面临的威胁是什么。 2007 年可谓是混淆技术的分水岭,以 Trojan/C2Lop (业内通常称其外层混淆器为Swizzor) 为代 表的各种自定义壳和混淆样本大量涌现。以高级语言作为外层包裹器(Wrapper)的样本更是不胜枚举,传统安全软件的脱壳、解码技术受到了巨大的挑战,脚本虚拟机、通用脱壳(Generic Unpacking)等技术开始应运而生并备受关注; 恶意软件快速迭代随着互联网的发展,“云”的概念被应用于安全软件,安全软件对恶意软件问题的响应速度大大提高。然而,互联网的发展不仅仅造就了“云”,黑色、灰色软件利益链条也得到快速完善。在这个完善的生态系统中,每个角色都发挥着各自的“技术优势”,黑站挂马、恶意软件制造、恶意代码混淆、流量联盟分工合作。恶意软件背靠着这个庞大的生态系统快速迭代,对安全软件带来了巨大的挑战; 攻击手段的多元化也是近些年来安全软件面临的挑战之一。信任利用(即通常说的白加黑)、高持续性威胁(APT)、分级渗透等,攻击的手段也颇具隐蔽性。传统的基于进程信任的单步、多步防御系统均成为此类威胁的“打击目标”。从火绒这几年实践的经验来看,基于行为分析的多步防御体系对于此类威胁 具有较强的应对能力; 下面的图表展示的是火绒反病毒引擎在超过 1900 万样本集合的检出结果 TOP20,其中每一个柱状表示的是一条特征检出的样本数。前 20个特征共检出了超过 400 万样本。 从上图的病毒名可以看到广告类灰色软件(Adware)占据了较大的比例。通过分别累 加上图中 灰色软件和恶意软件的检出数量,可以得到以下数据: 可见,前 20 位检出的样本中 42%为广告类灰色软件,可见灰色软件的比例在全部威胁类型中比例是相当巨大的。由于灰色软件不像传统恶意软件具有典型的恶意行为,往往不同的厂家均有不尽相同的评估标准,所以为安全软件带来了一定的挑战。然而, 通常这些挑战并不是来自技术层面,而更多的是来自法律和社会层面。另外,近 2 年来,随着移动端的普及,移动端恶意代码的数量也有着较为明显的上升趋势。 随着互联网信息技术快速发展,传统的安全运营模式将无法适应时代发展需要,面临全方位的转型和变革,基于边界、流量或规则的传统检测方式已经无法检测新型或未知威胁,针对企业安全防范理论和技术将发生彻底的转变。 边界防御的局限性,网络层发出的攻击,边界设备获取的信息是有限的,一旦突破了边界防御, 将无法了解这个攻击事件做了哪些行为、关联了哪些进程。 边界拦截率低,现在的变形攻击很多,有很多攻击会绕过边界安全,而且一个数据流是会被成每股小的数据流过去,基于数据流的这种分析方式,不能够深度的了解数据流中包含的恶意行为。 边界治标不治本,遇到网络攻击时可以将该 IP 拉黑,阻止该 IP。但是若干个 IP 又发起了攻击该如何处理?边界只做了临时处理,没有从根本上去解决问题。 随着互联网时代的发展,计算机已成为企业中常见设备,在面对计算机出现大量的病毒事件、网络攻击 事件、系统攻击事件、漏洞事件时。企业无法及时掌握有效信息,会大概率产生众多不可控的威胁,无法及时掌握终端的安全状况及变化往往是企业难题。 恶意数据根据不同的协议、端口都可入侵到内网之中, 网络协议没有规范的规则、高危端口没有严格的策略, 会让恶意数据轻而易举的进入到内网之中。 员工访问无关网站,比如游戏、股票、微博、视频、娱乐新闻等,网站中都可能携带恶意程序对内网构成威胁。 私自在不同场合使用 U 盘、移动硬盘等外设造成病毒传播、数据泄露, 对企业造成不可估量的损失。 终端不规范的行为是引申威胁的主要来源之一,协议端口的规范性、员工的上网行为、安装不符合企业规范的软件、使用可能会对企业具有威胁的程序、移动外设的非法使用等都属于终端面临的威胁。 企业在正常运转的业务系统时,空闲时间较短,导致无法定期对全网终端进行安全检测,病毒的传播瞬息万变,无法及时的了解全网安全状况, 可能会导致安全形势发生变化,一旦出现重大安全事故,将会影响正常业务,严重的事态可能还会造成不可预估的巨大损失。 火绒产品和服务秉承“情报驱动安全”的理念—— 以全面、真实、及时的互联网威胁情报为基础,来驱动技术研发和产品开发,并建立相应的安全服务运营体系。实时感知、精准处理、动态防御,为用户提供可靠、及时、成本合理的安全防护。 火绒会对全网产生的威胁进行实时感知,生成威胁情报。对所生成的威胁情报进行收集和深度分析,并且进行精准的处理。最后将处理后的结果进行及时的反馈,以达到动态防御的目的。通过这种方式对信息进行收集、分析、处理并进行反馈。下边的这幅图,是火绒威胁情报平台,该平台会对当日产生的各种防护事件进行聚合和分类,所有数据都是真实有效的数据,在火绒的官网可以看到这个信息。 实现“情报驱动安全”的核心,是部署实施 EDR (终端、检测和响应) 运营体系。火绒 EDR 体系以遍布互联网的数百万“火绒安全软件”(个人版) 为基础。在保护用户安全的同时,“火绒安全软件”又是截 获、处理各种未知威胁的探针,这些威胁信息在用户电脑上完成初步分析和处理,提取不涉及用户个人数据的纯威胁信息回传给火绒后台系统, 进一步分析和处理, 进行聚合和关联分析。 建立防病毒中心服务器,在网络中心的一台服务器上安装火绒终端安全管理系统 2.0 的控制中心管理后台,如图所示,负责管理整个企业内部网的计算机防病毒工作。 在终端 PC 及服务器安装火绒客户端防病毒程序,终端 PC 及服务器在浏览器地址栏访问控制中心 IP 地址,点击立即下载即可获取到客户端安装包,双击安装包一键安装即可成功安装客户端。 管理端口: 8080 部署端口: 80 中心远程端口: 5901 终端远程端口: 5500 火绒安全终端部署在需要统一保护的服务器或者客户端、执行病毒查杀以及实时监控等安全操作,并且 向控制中心传递安全事件信息。 I 网页安装 ① 访问客户端下载网址(http(s):\\中心 IP 地址:端口) ② 选择 Windows 版本点击下载安装包{installer(http/https_IP 或域名_端口).exe} ③ 运行客户端安装包。(管理控制中心的 IP 或域名、端口如有变化, 将安装包名称后半部分中带有的 IP 或 域名、端口地址更换为管理控制中心 IP 或域名、端口。) II 域部署工具安装 在管理工具界面下载域部署工具,并且在域服务器上部署开机或者登录脚本,即可对域内用户完成自动安装部署(含使用帮助文档) 注意事项: ① yum 源安装 wget (yum install wget), wget 获取客户端安装包 ② wget --content-disposition http://ip:80/deploy/linux-inst-20.sh 下载安装包 ③ 赋予执行权限 chmod +x installer(http_192.168.5.36_80).sh ④ 执行./ installer(http_192.168.5.36_80).sh 自主产权的火绒反病毒引擎, 历经 6 年艰辛打磨成熟,基于独特的“虚拟沙盒”技术,可以深度解析各类恶意代码的本质特征,有效地解决加密和混淆等代码级恶意对抗。同时,该引擎还能够实时感知静态的代码级威胁信息, 以及动态的文件级威胁行为信息, 是终端威胁探针的主要功能模块。 火绒引擎具有强大的通用扫描、通用脱壳和代码行为分析能力,以及轻量化设计、支持多种平台和丰富的文件格式,具有较高的解码、检出和代码修复能力。因此火绒产品拥有误报率超低、查杀速度快、体积和资源占用小等特点。 火绒防御体系有效地将单步防御和多步恶意监控相结合,不依赖白名单, 消除了信任漏洞,自上而下地在所有可能的威胁入口设计独特的防御策略,共同有效地防御不同类型的恶意威胁。同时还能实时感知动态的系统级威胁行为信息,是终端威胁探针的重要组成部分。 该防御体系分别从内容、规则、行为等角度设计了全面的防护功能,对各类安全威胁均有对应的防护功能。 当文件被执行、 生成、访问时, 文件实时监控通过火绒反病毒引擎对相应文件进行扫描。用户可以根据自己需求配置不同的扫描策略,包括扫描时机和反病毒引擎相关配置等,从而在不影响日常电脑使用的基 础上, 实时保护电脑不受病毒侵害。 通过监控程序运行过程中是否存在恶意操作来判断程序是否安全,从而可以作为传统特征查杀的补充,极大提升电脑反病毒能力。 即使在操作系统未打补丁的情况下,亦可拦截高危远程漏洞攻击,从而阻止勒索病毒、黑客攻击等通过响应漏洞入侵,同时该功能还可以精准锁定攻击源头(IP 地址)。 针对弱口令账号的有效防御手段,阻止黑客通过暴力猜密码入侵电脑,可以有效的阻止基于 RDP 协议的入侵方式。 针对病毒会利用或修改的系统脆弱点,设置相应的防护规则,拦截高风险动作,阻止特定命令行被恶意利用的行为,保护系统关键进程不被攻击利用,针对病毒特殊行为进行免疫等。 根据内网中的安全状态, 灵活配置 IP 协议以及端口,在病毒爆发的第一时间迅速利用 IP 协议控制来遏止病毒的扩散或入侵行为。 终端用户登录计算机时都将弹出动态口令安全认证窗口,若用户设置了计算机密码,该弹窗将在用户输入正确的账户密码后弹出。用户需再次输入正确的动态口令才可登入计算机。有效的防止黑客通过远程桌面暴破植入病毒。 应用程序与网站服务器进行通讯时,Web 扫描功能会检测网站服务器返回的数据,并及时阻止其中的恶意代码运行。 通过对容易被恶意代码攻击的软件进行行为限制,防止这些软件被恶意代码利用。 检测网络传输的数据包中是否包含远程控制代码,通过中断这些数据包传输以避免您的电脑被黑客远程控制。 防护黑客暴力破解攻击:支持 SMBv1、SMBv2、RPC、SQLServer、PDP 等协议。 保护 Web 服务,阻止针对高危 Web 服务漏洞渗透攻击进行防护。 自定义阻止某程序联网,自行管控电脑中所有程序是否联网。可通过文件 sha1、文件路径方式配置。 自定义限制终端使用某软件;可通过文件 sha1、文件路径方式配置。 可对 U 盘、移动硬盘(可限制只读)、便携设备、光驱、打印机、蓝牙、USB 有线无线网卡实现禁用。 深度融合“反病毒、主动防御、网络防火墙、访问控制”的综合防御体系“产品,四个关键模块协同运行,多层次主动防御系统,可以有效防御勒索病毒、黑客入侵等高危攻击。 现在大部分终端安全软件的防御方向都比较单一,无法将多模块协同运作,无法全面的对机器进行防护。火绒是将病毒防御、网络防御、系统防御以及访问控制四大模块深度融合协同运行的综合防御体系的产品,可以全面、有效的起到很好的防护效果。 8 大模块功能集中管理,首页预览安全事件;终端管理提供日常运维;防护策略可实现策略定制分发;漏洞修复为全网修复高危漏洞;资产管理将企业资产进行统计;中心管理细粒度配置系统设置;事件日志记录详细安全信息,获取有效线索;管理工具提供便捷使用。 自主知识产权和自主研发核心技术,完全避免产品后门和用户敏感信息外泄等隐患。对于当前国内的状况本地引擎的发展需要持续、高额的技术投入,而云引擎。只需要解决样本采集和云端样本自动分析平台即 可。而 OEM 引擎则更为被动,没有自主权,无法保证避免后门和信息泄露等威胁。 终端统一维护、单点维护解决各异难题,单点维护可对管理终端网络配置信息、统计系统账户。资产管 理统计硬件基本信息(可对硬件更换进行记录)、对资产进行登记、操作系统占比分析、全网软件安装情况汇总及管理。 火绒反病毒引擎凭借火绒虚拟化技术,对几乎所有待扫描 PE 样本均应用通用脱壳和动态行为扫描,用较少的记录,长期、有效地检出家族性样本。凭借火绒虚拟沙盒接近真实 CPU 的执行效率和高还原度的操作 系统环境仿真,火绒反病毒引擎拥有了很强的抗干扰能力。 现在病毒通常是依靠病毒混淆器批量生成(每个生成的样本哈希均不相同),且生成的频率高于云引擎运营设想的“收集-评估-标记-相应”周期,所以云查杀与通过特征库升级的方式下发病毒库,面对大量不 同病毒样本,实效性低。火绒采取不断完善并持续改进本地引擎的策略,在运营中大量依赖病毒行为特征作 为判断依据,可以做到对病毒家族现有以及新出现样本的持久有效查杀,同时火绒不断优化静态、动态启发 式分析模型,有效应对未知病毒。通过上述逻辑,火绒引擎可以做到更为持久有效的查杀效果,削弱由于病 毒更新、云引擎运营周期等时差问题,更为有效地保护终端安全。 绒系统加固对系统的防护有 86 个防护点,通过火绒终端提供的系统加固,可以有效控制和减小终 端暴露在外的攻击面。降低风险,分析潜在的安全隐患,提高认识 IT 管理员对企业安全的认识,为中心提供威胁情报,根据威胁情报相应地调整对策,抵御威胁。伴随火绒处理安全事件运营过程中,根据获取到最新威胁情报,推进产品提供更多防护项目,帮助企业在攻击的早期阶段抵御复杂威胁,保障主机安全和业务的正常运行。 火绒企业版 2.0 具有丰富的统一管控功能、单点维护功能、友好的用户界面、可视化强的首页概览、提供有效信息的事件详情、人性化的资产管理。极大的提企业对于计算机安全管理的效率,使企业完成计算机管理及运维工作。 即使在操作系统未打补丁的情况下,亦可拦截高危远程漏洞攻击,从而阻止勒索病毒、黑客攻击等通过响应漏洞入侵,同时该功能还可以精准锁定攻击源头(IP 地址)。 自主知识产权和自主研发核心技术,完全避免产品后门和用户敏感信息外泄等隐患。对于当前国内的状况本地引擎的发展需要持续、高额的技术投入,而云引擎。只需要解决样本采集和云端样本自动分析平台即 可。而 OEM 引擎则更为被动,没有自主权,无法保证避免后门和信息泄露等威胁。 基于情报驱动安全的理念,诞生了火绒的运营体系,EDR 运营体系。 EDR 就是所说的,终端、检测、响应;我们通过遍布互联网数千万安装了“火绒安全软件”的设备作为支撑体系的基石,火绒的终端也是火绒 的安全探针,可以收集全网威胁情报检测。火绒在给个人用户电脑进行防护的同时,还会对截获到的各类胁进行初步检测、分析; 最后我们将终端检测、分析后的可疑信息在“火绒终端威胁情报系统”聚合后,由火 绒工程师深度分析、挖掘;最终将确定好的威胁的解决方案融入进数千万的终端,比如升级病毒库、完善防 御策略等,达到提升终端安全防护能力的目的。同时将千万级个人版产生的情报效益融至企业版产品中。 火绒会对威胁情报系统捕获的对用户具备较大威胁的病毒,进行详细的分析和溯源,摸清病毒的来源、危害、传播方式以及利益链,并及时拦截查杀,发布专业报告提醒广大用户做好防护。安全报告链接:https://www.huorong.cn/info/ 火绒时刻关注主流的系统和软件厂商安全动态,对发布的漏洞信息及时评估严重程度并提醒用户,通过补丁推送、升级功能、提供安全建议等方式保护用户终端不受影响。漏洞预警链接 :https://www.huorong.cn/info/1.终端面临的威胁
1.1 混淆样本数量暴增
1.2 边界设备无法有效保护终端
1.3 终端体系庞大,行为难以管控
1.4 终端安全检测频率低
1.5 复杂多样的威胁
2. 应对策略
2.1 情报驱动安全
2.2 EDR 运营体系
3. 构建终端防护体系
3.1 环境要求
3.1.1 服务端配置要求
3.1.2 客户端配置要求
3.1.3 网络要求
3.2 部署参考
3.2.1 安装控制中心
3.2.2 安装 Windows 终端
3.2.3 安装 Linux 终端
4.产品优势
4.1 核心技术
4.1.1 自主知识产权的新一代反病毒引擎
4.1.2 主动入侵防御系统
4.2 硬核防御功能
4.2.1 文件实时监控
4.2.2 恶意行为监控
4.2.3 网络入侵拦截
4.2.4 远程登录防护
4.2.5 系统加固
4.2.6 IP 协议控制
4.2.7 终端动态口令验证
4.2.8 Web 扫描
4.2.9 应用加固
4.2.10 僵尸网络防护
4.2.11 暴破攻击防护
4.2.12 Web 服务保护
4.2.13 联网控制
4.2.14 程序执行控制
4.2.15 设备控制
4.3 综合防御体系
4.4 集中式管理
4.5 本土化产品
4.6 统一运维管控
5.产品效益
5.1 识别混淆样本,解决安全隐患
5.2 减少被攻击面,预防威胁
5.3 提高运维效率,节省运维成本
5.4 拦截未知漏洞攻击,溯源问题根源
5.5 自主知识产权,杜绝后门隐患
5.6 EDR 产生情报效益,融入至企业版
6.服务支持
6.1 专业安全报告
6.2 及时漏洞预警
作者: 浏览量: